VeriFone, una compañía dedicada a la creación de productor y soluciones para transacciones seguras, ha publicado un sitio web con la intención de desacreditar (de forma bastante exitosa) a uno de sus más recientes competidores: Square, un interesante sistema de pago con tarjetas de crédito para iOS del que ya os hemos hablado en un par de ocasiones. Square consiste en un lector de tarjetas de crédito que se conecta al iPhone, el iPod touch o el iPad a través de la toma de auriculares y gestiona nuestros pagos mediante una aplicación que se encarga de la autentificación.
El problema de seguridad puesto al descubierto por VeriFone consiste en que el lector de Square no codifica los datos de la tarjeta al transferirlos al dispositivo por lo que cualquiera puede crear una aplicación que imite el aspecto de la oficial y capturar nuestros datos sin que nos enteremos de nada, tratándose más de una técnica de ingeniería social que otra cosa. La solución pasaría por realizar algún tipo de verificación para impedir el uso de su lector con cualquier aplicación y la codificación de los datos obtenidos por el lector antes de transmitirlos, algo que resulta sorprendente que no hagan ya.
Según los últimos datos, Square está procesando un millón de dólares al día en transacciones con un crecimiento de 100.000 nuevos negocios al mes gracias a que el lector se ofrece de forma gratuita y su uso supone un coste mucho menor por transacción que el de los métodos tradicionales con una comisión del 2,75% frente al tradicional 5%. Os dejo con un vídeo acerca de su funcionamiento...
Comentarios
Al leeros en twitter entendí "vodafone", y ya venía puesto para decir "con razón se debate con Vomistar el puesto a la peor empresa del año en FACUA", jajaja
Yo entendí VeriFone como el iPhone Verizon (VeriPhone) de USA. Así es como le llama mucha gente allí.
-- editado por última vez a las 23:14
interesante
http://daringfireball.net/linked/2011/03/09/verifone-square
Afortunadamente lo único que están consiguiendo es darle publicidad gratuita a Square.
Si la verdad, yo tambien cuando lei la noticia he pensado lo mismo. Si el problema es solo por software basta con tener cuidado. Otra cosa seria que el software de verifone fuera facilmente infectado por un gusano o algo que extraiga la informacion una vez la introduces al iphone.
Un ejemplo de esto es el timo del ebay que recibi hace unos años, me mandaron un mail imitando pero con otra cuenta bancaria el mail de cobro de comisiones de ebay, ese que manda diciendo, debes x €. De echo, hasta tenía la direccion de evitar fraudes y yo lo denuncie mediante ese link, ebay me pidio disculpas.Pero imagino que mucha gente que tiene ebay caería, creo que eran 4 euros.
Estos de verizon lo que quieren es que no les jodan el chollo echando pestes sobre la competencia que viene pegando muy fuerte. A ellos tambien les puede piratear la base de datos y extraer toda tu info.
-- editado por última vez a las 05:43
Verifone vuelve a la carga, lo he extraido del mismo post que tu comentas #cateye.
http://daringfireball.net/linked/2011/03/09/verifone-square
Update: The magnetic strip contains a CVV1 number that isn’t printed on the card (it’s the CVV2 number that’s printed, for verifying online purchases), but still, the overall point stands: VeriFone’s attack against Square is FUD.
Aun asi creo que sigue sin ser determinante el riesgo que sufres si solo se puede hacer por imitacion de software
Seguramente cuando crearon Square no pensaron que tendrían tanto éxito, por eso se saltaron algunas comprobaciones básicas como la codificación, asi podian llegar a App's que lo integraran.
Yo tampoco se como funciona internamente este producto, ni si necesitas un SDK especifico para utilizarlo. Quizá te da los datos como si de un lector de código de barras se tratase.
Lo que deberían hacer es "homologar" las App's que pueden utilizar este dispositivo, asi el cliente estaría seguro si esta comprando o no con seguridad.
Un saludo! ;-)
A mi me interesaría usarlo, pero por lo que entiendo, el que PAGA tiene que estar registrado. Que porcentaje de geeks estarán registrados en este sistema? No tiene sentido.
O lo he entendido mal, o no comprendo su exito.
No hay que estar registradp para pagar por el, tan solo para cobrar.
los de verifone ni siquiera publican costos o comisiones que tienen! ja
Hay alguna aplicacion parecida, que se pueda usar entrando la informacion de la tarjeta y mandarlo a una cuenta corriente en España o alguna direccion de Paypal?
Escribir un comentario
Para hacer un comentario es necesario que te identifiques: ENTRA o conéctate con FacebookConnect